Falsche IT-Sicherheitsforscher tarnen Malware als Proof-of-Concept-Exploits
IT-Forscher sind über gefälschte IT-Security-Profile gestolpert. In deren Github-Repositories lauert anstatt versprochener Proof-of-Concept-Exploits Malware.
(Bild: JpegPhotographer/Shutterstock.com)
IT-Sicherheitsforscher sind auf eine Malware-Kampagne gestoßen, die sich offenbar gegen IT-Sicherheitsexperten richtet. Falsche IT-Security-Profile verweisen auf Github-Repositories, in denen vermeintlich Proof-of-Concept-Code zum Ausnutzen angeblicher Zero-Day-Schwachstellen liegt. Tatsächlich handelt es sich jedoch um Malware, die den Computer infiziert.
Dass sich hinter vermeintlichem Proof-of-Concept-Code Malware verbirgt, sei nichts Neues, schreiben auch die IT-Forscher von VulnCheck in ihrer Warnung. So hatten sie im Mai etwa vorgeblichen Exploit-Demo-Code für eine behauptete Zero-Day-Lücke in Signal und etwas später für WhatsApp entdeckt. Nach der Meldung an Github verschwanden die bösartigen Code-Repositories aber auch schnell.
Vermeintlicher PoC-Code vom gefälschten IT-Sicherheitsexperten
Jetzt haben die Angreifer jedoch einen neuen Ansatz gewählt und stellen sich professioneller auf. Um die Malware-Repositories echter wirken zu lassen, erstellen sie Profile und Konten von vorgeblichen IT-Sicherheitsforschern in sozialen Netzwerken. Im konkreten Beispiel haben sie für ein halbes Dutzend Github-Konten eine Handvoll verknüpfter Twitter-Accounts angelegt. Diese waren alle Teil der real nicht existierenden IT-Sicherheitsfirma High Sierra Cyber Security.
Die Konten in den sozialen Netzen sähen wie normale Accounts von IT-Sicherheitsforschern aus. Zu dem Konto gehört auch ein Foto, es hat Follower, eine verknüpfte Organisation, ein Twitter-Handle und einen – wenn auch nicht funktionierenden – Link zur Unternehmens-Webseite. Ein Foto eines solchen Profils konnten die VulnCheck-Forscher auf einen Mitarbeiter der IT-Sicherheitsfirma Rapid7 zurückführen. Die Angreifer geben sich also nicht nur Mühe, die Konten echt aussehen zu lassen, sondern verwenden auch Fotos von echten IT-Sicherheitsforschern.
(Bild: VulnCheck)
Jedes Social-Net-Konto war mit einem bösartigen Repository verknüpft, das vorgab, einen Exploit für bekannte Produkte zu enthalten – etwa für Google Chrome oder Discord. Einige der Twitter-Konten bewarben die Repositories auch in Tweets mit lockenden Hashtags wie #CyberSecurity. Die Repositories tragen zudem für Sicherheitslücken typische Tags wie cve, rce oder 0-day-exploit.
Malware statt PoC
Die Funktion des poc-py-Skripts, das angeblich den Proof-of-Concept-Exploit enthält, ist relativ einfach. Es lädt je nach Betriebssystem eine andere Datei herunter. Im Fall des angeblichen Discord-0-Days waren das die Dateien cveslinux.zip respektive cveswindows.zip, die das Skript von Github lud, entpackte, auf Platte schrieb und ausführte.
Die Erkennungsraten für die Windows-Malware auf Virustotal war zum Meldungszeitpunkt einigermaßen hoch, 42 von 71 schlugen an. Die Linux-Variante wurde zum Zeitpunkt der Analyse durch VulnCheck wesentlich schlechter erkannt – da waren es 3 von 62 Scannern; jetzt schlagen bereits 28 von 62 Virenscannern an.
Ob die Masche erfolgreich war, können die VulnCheck-Forscher nicht sagen. Die Energie, die die Cyberkriminellen in die Kampagne stecken, lässt sie jedoch vermuten, dass die Drahtzieher von einem Erfolg der Masche ausgehen. In ihrer Analyse listen die VulnCheck-IT-Forensiker die bösartigen Github-Repositories, Github- und Twitter-Konten auf.
(dmk)